voor Bestuurders

Materiële impact op de jaarrekening

De impact van de boete kan ‘materieel’ zijn op de jaarrekening. De accountant moet dus ook iets vinden over het risico dat is ontstaan door de Meldplicht Datalekken. Vraag uw accountant om advies. Alles draait om datalekken vinden en melden. Maar..

Hoe vinden we een datalek en hoe bereiden we ons dan voor op een melding?

ISSP levert diverse diensten gericht op het behouden van overzicht, vinden van datalekken en zeker stellen dat passende maatregelen genomen zijn. De Datalek Scan helpt bij het bewaren van het overzicht en het vinden van datalekken. Het is belangrijk aan te kunnen tonen dat passende technische en organisatorische maatregelen waren getroffen ten tijde van het datalek. Vele technieken kunnen worden toegepast, echter is versleuteling van privacygevoelige informatie vaak voldoende om een melding te voorkomen. Maar waar bevindt gevoelige informatie zich überhaupt? De ISSP Privacy Scan vindt privacygevoelige informatie overal in uw netwerk en kan direct actie ondernemen door bijvoorbeeld versleuteling toe te passen.

Voor het bewaren en bewijzen dat constant geanticipeerd is op actuele bedreigingen, is de Datalek Scan de ideale oplossing. De Data Scan levert een eenvoudig en leesbaar rapport voor bestuurders en accountants met alleen relevante meetpunten. Het duurt gemiddeld meer dan 200 dagen voordat een datalek wordt ontdekt. De Datalek Scan helpt bij het aantonen dat 200 dagen geleden, naar de stand van de techniek, de juiste passende technische en organisatorische maatregelen waren genomen.

Dreigende Bestuurlijke boete

Bestuurders kunnen ultiem hoofdelijk aansprakelijk worden gesteld. De bestuursrechtelijke boetes zijn niet over te dragen op bijvoorbeeld verzekeringsmaatschappijen. Hierdoor is er grote behoefte aan formeel bewijs dat er constant en adequaat is geanticipeerd op het continu veranderende dreigingsniveau. Er spelen vragen als: welke logfiles (of details uit logfiles) moeten er bewaard blijven? Hoe weet ik zeker dat ik de juiste informatie en rapportage bezit?

Hoe krijg ik anderen zodanig in beweging dat mijn risico als bestuurder beperkt blijft?

“Overtreding van de Meldplicht Datalekken kan worden bestraft met het opleggen van een bestuurlijke boete (artikel 66, lid 2, Wbp). In een aantal gevallen moet het opleggen van een boete vooraf worden gegaan door een bindende aanwijzing (artikel 66, lid 3 en 4, Wbp). Bij het opleggen van een boete houdt het Autoriteit Persoonsgegevens rekening met de omstandigheden van het geval, en met de interpretatieruimte voor de verantwoordelijke bij het toepassen van de wettelijke normen op zijn situatie. Alleen als de verantwoordelijke een apert onredelijke interpretatieruimte toepast (door de melding achterwege te laten terwijl het evident is dat er gemeld had moeten worden) zal het Autoriteit Persoonsgegevens gebruik maken van zijn bevoegdheid tot het opleggen van een bestuurlijke boete.”

ISSP legt de verbinding tussen IT, de beveiligingsafdeling en de bestuurskamer. Wij helpen u het risico in kaart te brengen en tot een voor u acceptabel niveau terug te brengen.

Ketenaansprakelijkheid

Is uw organisatie “de verantwoordelijke” organisatie in de ogen van de wet? Dan bent u als bestuurder eindverantwoordelijk en loopt u en uw organisatie het risico op bestuursrechtelijke en civielrechtelijke boetes. De verwachting is dat er veel civiel rechtelijke disputen zullen ontstaan tussen bewerkers onderling en tussen bewerkers en verantwoordelijke. U bent als verantwoordelijke organisatie en bestuurder degene die het risico loopt, terwijl bewerkers data kunnen lekken doordat zij bijvoorbeeld geen passende technische en organisatorische maatregelen nemen.

Doen mijn bewerkers echt wat ze moeten doen?

ISSP helpt u bij het:

– nemen van passende technische en organisatorische maatregelen en het toetsen op effectieve werking.

– sluiten van bewerkersovereenkomsten met partijen die data voor u bewerken.

– communiceren en afdwingen van het juiste beveiligingsbeleid met passende technische en organisatorische maatregelen in de gehele keten (verantwoordelijke en bewerkers en/of sub-bewerkers).

– toetsen op naleving van uw beveiligingsbeleid bij uw bewerkers. U bent tenslotte (hoofdelijk) aansprakelijk en zoekt bewijs! De inzet van de ISSP Datalek Scan in de keten maakt dat ketenpartners dezelfde terminologie en rapportages gebruiken en levert een stevige basis voor de audits. Gebruik van dezelfde termen en rapportages verkleint de ruimte voor interpretatieverschillen en misverstanden en stimuleert het optimaliseren van escalatie processen.